一种多粒度隐蔽隧道恶意加密流量检测方法及装置

本发明公开了一种多粒度隐蔽隧道恶意加密流量检测方法及装置，所述方法包括：S1：获取隐蔽隧道加密流量；S2：根据隐蔽隧道加密流量数据提取数据包粒度、数据流粒度和主机粒度的特征；S3：将不同粒度特征转换成合适的向量，分别采用孤立森林、随机森林和fastText方法进行分类检测；S4：基于所述基于孤立森林和随机森林模型的检测结果，利用软投票的方式得到采用人工提取特征的方法的检测结果；S5：根据所述基于fastText自动提取特征方法的检测结果和所述采用人工提取特征方法的检测结果，按照一定比例得出原始隐蔽隧道加密流量的检测结果，判断原始隐蔽隧道加密流量是正常流量还是恶意流量。本申请结合人工提取特征和自动提取特征的方法，既保证了所选特征具有区分度，又弥补了专家经验可能具有片面性的缺点，有效提升了隐蔽隧道恶意加密流量检测的性能。